基于集成性協(xié)同性的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模塊研究

摘要：入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。為了提高入侵檢測(cè)系統(tǒng)的性能，本文將集成性和協(xié)同性從而達(dá)到優(yōu)化的思想引入到入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)中。

關(guān)鍵詞：集成性；協(xié)同性；計(jì)算機(jī)網(wǎng)絡(luò)入侵

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)15-20ppp-0c

Based on the Synergistic Integration of the Computer Network Intrusion Detection System Module Study

HU Rong1， ZHANG Yong2

(1.Guizhou Institute of Finance and Economics Network Center，Guiyang 550004，China;2.Guizhou Institute of Finance and Economics Institute of Information，Guiyang 550004，China)

Abstract:Intrusion Detection as a proactive security protection technology， provides an internal attacks， external attacks and misuse of real-time protection， the network system at risk and respond to intercept before the invasion. In order to improve the performance of intrusion detection system， the paper will be integrated and coordinated to achieve optimal thinking into the intrusion detection system in the realization.

Key words:integrated; Coordinated;Computer network invasion

1 引言

入侵檢測(cè)系統(tǒng)(Intrusion Detection System，簡(jiǎn)稱IDS)作為一種主動(dòng)的信息安全保障措施，是對(duì)防火墻的必要補(bǔ)充，它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。本文在對(duì)現(xiàn)有的入侵檢測(cè)系統(tǒng)進(jìn)行分析和研究的基礎(chǔ)上，在入侵檢測(cè)系統(tǒng)中立足于方法和機(jī)制上的集成性、協(xié)同性，從而達(dá)到優(yōu)化的思想引入到入侵檢測(cè)系統(tǒng)中，也就是基于多種檢測(cè)方法的入侵檢測(cè)系統(tǒng)，對(duì)不同的檢測(cè)方法進(jìn)行優(yōu)化、集成和協(xié)同，從而盡可能的使入侵檢測(cè)系統(tǒng)保持健壯性、容錯(cuò)性、適應(yīng)性、可擴(kuò)展性，使網(wǎng)絡(luò)系統(tǒng)真正獲得較佳的結(jié)果。

2 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)分析模塊

協(xié)議分析模塊主要是針對(duì)特定的攻擊行為所表現(xiàn)出來的網(wǎng)絡(luò)特征進(jìn)行分析的。協(xié)議分析利用網(wǎng)絡(luò)協(xié)議的高度有序性，并結(jié)合了高速數(shù)據(jù)包捕捉、協(xié)議分析和命令解析，來快速檢測(cè)某個(gè)攻擊特征是否存在。協(xié)議分析大大減少了計(jì)算量，即使在高負(fù)載的高速網(wǎng)絡(luò)上，也能逐個(gè)分析所有數(shù)據(jù)包。采用協(xié)議分析技術(shù)的 IDS 能夠理解不同協(xié)議的原理，由此分析這些協(xié)議的流量，來尋找可疑的或不正常行為。對(duì)每一種協(xié)議，分析不僅僅基于協(xié)議標(biāo)準(zhǔn)，還基于協(xié)議的具體實(shí)現(xiàn)，因?yàn)楹芏鄥f(xié)議的實(shí)現(xiàn)偏離了協(xié)議標(biāo)準(zhǔn)。協(xié)議分析技術(shù)觀察并驗(yàn)證所有的流量，當(dāng)流量不是期望值時(shí)，IDS 就發(fā)出告警。協(xié)議分析具有尋找任何偏離標(biāo)準(zhǔn)或期望值的行為的能力，因此能夠檢測(cè)到己知和未知攻擊方法。狀態(tài)協(xié)議分析就是在常規(guī)協(xié)議分析技術(shù)的基礎(chǔ)上，加入狀態(tài)特性分析，即不僅僅檢測(cè)單一的連接請(qǐng)求或響應(yīng)，而是將一個(gè)會(huì)話的所有流量作為一個(gè)整體來考慮。有些網(wǎng)絡(luò)攻擊行為僅靠檢測(cè)單一的連接請(qǐng)求或響應(yīng)是檢測(cè)不到的，因?yàn)楣粜袨榘诙鄠€(gè)請(qǐng)求中，此時(shí)狀態(tài)協(xié)議分析技術(shù)就顯得十分必要。

協(xié)議分析和狀態(tài)協(xié)議分析技術(shù)與模式匹配技術(shù)相比，具有如下的優(yōu)點(diǎn)：①性能提高：協(xié)議分析利用己知結(jié)構(gòu)的通信協(xié)議，與模式匹配系統(tǒng)中傳統(tǒng)的窮舉分析方法相比，在處理數(shù)據(jù)幀和連接時(shí)更迅速、有效。②準(zhǔn)確性提高：與非智能化的模式匹配相比，協(xié)議分析減少了誤警和漏警，命令解析和協(xié)議解碼技術(shù)相結(jié)合，在命令字符串到達(dá)操作系統(tǒng)或應(yīng)用程序之前，模擬命令字符串便執(zhí)行，以確定它是否具有惡意。基于狀態(tài)的分析能做到當(dāng)協(xié)議分析入侵檢測(cè)系統(tǒng)引擎評(píng)估某個(gè)數(shù)據(jù)包時(shí)，需要考慮在這之前相關(guān)的數(shù)據(jù)。特別是對(duì)于多包（包的序列）的攻擊，可以做到較好的檢測(cè)。下面為協(xié)議分析流程：

3 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)響應(yīng)模塊

響應(yīng)就是當(dāng)入侵檢測(cè)系統(tǒng)檢測(cè)到入侵行為時(shí)所做出的反應(yīng)動(dòng)作。入侵檢測(cè)系統(tǒng)的響應(yīng)分為主動(dòng)響應(yīng)和被動(dòng)響應(yīng)兩種類型。主動(dòng)響應(yīng)時(shí)，系統(tǒng)自動(dòng)地或以用戶設(shè)置的方式來阻斷攻擊過程或以其它方式影響攻擊過程。它能夠阻止正在進(jìn)行的攻擊，使得攻擊者不能夠繼續(xù)訪問。主動(dòng)的響應(yīng)是入侵檢測(cè)系統(tǒng)在檢測(cè)到攻擊時(shí)會(huì)對(duì)攻擊者進(jìn)行反擊。被動(dòng)響應(yīng)為用戶提供入侵信息，由系統(tǒng)管理員采取適當(dāng)措施。這種響應(yīng)是根據(jù)緊急程度來向用戶提交信息的，雖然實(shí)時(shí)性較主動(dòng)響應(yīng)差，但是它比較安全，而且數(shù)據(jù)更容易維護(hù)。系統(tǒng)設(shè)計(jì)結(jié)合主動(dòng)響應(yīng)與被動(dòng)響應(yīng)的優(yōu)點(diǎn)，對(duì)于那些模式庫中己經(jīng)存在的較常見的攻擊類型，系統(tǒng)根據(jù)預(yù)先設(shè)計(jì)的動(dòng)作，進(jìn)行主動(dòng)響應(yīng)處理，對(duì)于通過異常算法檢測(cè)到的那些模式庫中沒有存在的攻擊，系統(tǒng)將該連接數(shù)據(jù)保存起來，做進(jìn)一步處理。

4 模塊間的通信

在這個(gè)模塊中，主要采用多線程技術(shù)和進(jìn)程間的套接字通信機(jī)制。模塊間的通信原理圖如下所示。

日志服務(wù)程序其實(shí)是起著一個(gè)轉(zhuǎn)發(fā)的功能，有點(diǎn)類似于“代理”。日志服務(wù)程序與入侵檢測(cè)模塊都設(shè)計(jì)在sensor上，它們之間采用域套接字進(jìn)行本地通信。由于日志服務(wù)程序與入侵檢測(cè)模塊是本機(jī)的兩個(gè)進(jìn)程，所以可以不用考慮通信的加密問題。日志服務(wù)程序與數(shù)據(jù)中心之間由于是遠(yuǎn)程通信，所以采用可靠的面向連接的TCP套接字。如同服務(wù)端與管理中心之間的通信，日志服務(wù)程序與數(shù)據(jù)中心之間的通信也需要加密，保護(hù)日志、報(bào)警等敏感信息不被竊取和篡改，提高系統(tǒng)的安全性。從“模塊間的通信原理圖”中，可以看出，服務(wù)程序既要接收入侵檢測(cè)模塊發(fā)出的報(bào)警信息，還要將報(bào)警信息轉(zhuǎn)送到遠(yuǎn)程的數(shù)據(jù)中心，這里將涉及到通信同步的問題。域套接字是本機(jī)進(jìn)程間通信的一種很好的方案，具有速度快的優(yōu)點(diǎn)。而服務(wù)程序與遠(yuǎn)程數(shù)據(jù)中心采用TCP套接字進(jìn)行通信的速度要慢些。所以，必須考慮這個(gè)“快慢”的問題，也就是通信的同步問題。采用“報(bào)警隊(duì)列”可解決這個(gè)問題。由于這個(gè)“報(bào)警隊(duì)列”是個(gè)臨界資源，接收?qǐng)?bào)警信息和發(fā)送報(bào)警信息都要訪問并操作隊(duì)列，在設(shè)計(jì)時(shí)采用線程互斥鎖解決這個(gè)問題。

總之，入侵檢測(cè)系統(tǒng)是一種重要的安全輔助系統(tǒng)，是PPDR模型的重要組成部分。入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，入侵檢測(cè)逐漸受到人們的高度重視。

參考文獻(xiàn)：

[1] 王文奇.入侵檢測(cè)與安全防御協(xié)同控制研究[D].西北工業(yè)大學(xué)，2007.

[2] 趙鐵山.時(shí)間序列模型在入侵檢測(cè)系統(tǒng)中的應(yīng)用研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2005(05).

[3] 范榮真.基于信息融合入侵檢測(cè)技術(shù)研究[D].浙江工業(yè)大學(xué)，2004.

[4] 黨瑞，李偉華.入侵檢測(cè)和蜜罐的聯(lián)動(dòng)技術(shù)研究[D].西北工業(yè)大學(xué)，2004.

收稿日期：2008-03-22

作者簡(jiǎn)介：胡蓉（1981-），女，碩士研究生，助教，主要研究方向：計(jì)算機(jī)網(wǎng)絡(luò)安全、數(shù)據(jù)庫技術(shù)；張永（1979-），男，碩士研究生，講師，主要研究方向：管理信息系統(tǒng)、數(shù)據(jù)庫技術(shù)及ERP系統(tǒng)。